Tags:
nethz service1Add my vote for this tag create new tag
, view all tags

nethz Services (per 11. August 2017)

Alle nethz Services haben in der Tabelle SERVICE einen entsprechenden Eintrag.

Legende

  • NSID Primärschlüssel
  • Kulanz-Tage Anzahl Tage nach Ablauf einer ETH-Beziehung, bis Services gesperrt/gelöscht werden
  • USER_CGI ADMIN_CGI Namen der Service-Skripte im Admin-Tool für den User selbst und für den Administrator. Beide sind optional
  • SERVICE_MODULE Das Service-Modul ist für die Service-Einstellungen verantwortlich, beispielsweise die Mailadresse, der Forward innerhalb des Mailbox-Services. Die Endung .pm wurde jeweils weggelassen
  • VALIDATION_MODULE Das Validations-Modul ist für die eigentliche Konto-Erstellung im Zielsystem verantwortlich. In letzter Zeit wurden SERVICE_MODULE und VALIDATION_MODULE zusammengefasst und im Verzeichnis Service/ abgelegt. Sie heissen entsprechend Service::XXX
  • URL verweist auf die Webseite, wo der Service hauptsächlich Verwendung findet.
  • PROVIDER ist die Admin-Gruppe, welche primär für den Service verantwortlich ist. Die Admingruppe kann jederzeit jedem User den Service erteilen (grant) oder auch entziehen (revoke).
  • Schnittstellen einige Services kommunizieren über bestimmte Schnittstellen zu den Umsystemen. Diese sind hier dokumentiert. «intern» bedeutet, dass bloss innerhalb der nethz-Datenbank ein Eintrag getätigt wird

Kategorien:

  • Account: Konto auf Zielsystem; führt meistens auch zu impliziten Berechtigungen
  • Attribute: bestehenden Account mit zusätzlichen Informationen anreichern
  • Rolle: enthält eine Menge von Einzelberechtigungen
  • Berechtigung: eine Einzelberechtigung
  • Benachrichtigung: löst beim Erstellen und/oder beim Löschen des Service eine Benachrichtigung an eine vorgegebene Mailadresse aus.

bedeutet, dass dieser Service obsolet ist oder in naher Zukunft obsolet wird.

NSID Name Kategorie Attribute Voraussetzung Beschreibung Bemerkungen Schnittstellen Kulanz-Tage USER_CGI ADMIN_CGI SERVICE_MODULE VALIDATION_MODULE URL PROVIDER
0 nethz Account     Das nethz Passwort umfasst LDAPS resp. Shibboleth AAI. Bei den geschützten ETH-Webseiten (CQ5/AEM) sowie den meisten Webapplikationen wird das nethz-Passwort verlangt. Entspricht einem Konto in LDAPS, dem wichtigsten Authentisierungsserver neben AD und Radius (VPN). Über das LDAP-Protokoll werden auf dem Server User-Kontos und Gruppen sowie deren Mitglieder geschrieben. Eng verwandte Services sind: BiolAuth, HestAuth, ItetAuth, InfkAuth, MathAuth Diese benötigen den nethz Service als Voraussetzung. LDAP 150/180   nethzauth_admin.fastpl Service::NethzAuth NethzVal  
1 Mailbox Attribute mail, mailNickname, proxyAddresses, alternateRecipient, mDBUseDefaults, mDBOverHardQuotaLimit, mDBOverQuotaLimit, mDBStorageQuota AD Mailbox (mail.ethz.ch) sowie alle mit dem Active Directory verwandten Dienstleistungen (z.B. Sharepoint, Printing) und geschützten Webseiten. Erstellt über die LDAP-Schnittstelle des AD einen neuen Benutzer. Mit dem Attribut nethzTask=create MBX wird auf Seite Exchange der Auftrag übergeben, eine Mailbox zu erstellen. Ein PowerShell Skript (alle paar Minuten gestartet durch einen sog. «scheduled task») verarbeitet diese Aufträge und schreibt das Ergebnis ebenfalls in dasselbe Attribut zurück. Für alle Operationen wird die LDAP-Schnittstelle verwendet. Für Umbenennung und Verschiebung eines Users wird via SSH ein dsmove ausgeführt. LDAP, ssh 150/180 e_post.fastpl e_post_admin.fastpl Mailbox_SM Mailbox http://mail.ethz.ch ID-Mail
2 Active Directory Account, Attribute cn, sAMAccountName, displayName, givenName, sn, title, description, gecos, wwwHomePage, company, department, ou, mobile, telephoneNumber, otherTelephone, facsimileTelephoneNumber, pager, msExchAssistantName, physicalDeliveryOfficeName, streetAddress, postalCode, l, co, msExchHideFromAddressLists, proxyAddresses, targetAddress, homeDrive, homeDirectory, profilePath, unixHomeDirectory   Konto im Active Directory Zur Erstellung von Active Directory Kontos, dh. ohne dazugehörige Mailbox. Es ist mal gedacht gewesen, die Services AD und Mailbox konzeptionell zu trennen, was aber mangels Ressourcen nie vollständig realisiert wurde. Der AD-Service unterstützt reine E-Mail Forwardfunktion, ohne eine Mailbox einrichten zu müssen. LDAP 150/180   ad_admin.pl Service::AD Service::AD  
7 VPN Account dienst='NAC'   Virtual Privat Network. RADIUS Netzwerkzugang via Wireless, VPN, 802.1x, LandingPage, eduroam. Der Zugang zu bestimmten Netzwerkzonen (Realms) wird im Netsupport-Tool (vormals ISG-Tool) definiert. User-Einträge werden in die Tabelle OM.V_RAD_USER geschrieben. Realm-Mitgliedschaften in die Tabelle OM.V_NETNG_REALM und OM.V_NETNG_REALM_USER intern 30/60   standard_service_admin.fastpl Service::VPN Service::VPN http://www.id.ethz.ch/services/list/vpn/index
9 Studentenlisten Berechtigung     Studenten-Mailverteiler für nicht-offizielle Mailings erzeugen Berechtigungs-Service für die Benutzung des Studentent-Mailverteiler-Tools (Bestandteil von nethz Admin-Tool) intern 30/60 student_lists.fastpl standard_service_admin.fastpl StandardService_SM    
10 Studentenlisten Berechtigung     Studenten-Mailverteiler für offizielle Mailings erzeugen und Daten der Studenten herunterladen Berechtigungs-Service für die Benutzung des Studentent-Mailverteiler-Tools (Bestandteil von nethz Admin-Tool) intern 30/60 student_lists.fastpl standard_service_admin.fastpl StandardService_SM    
12 MessageTree Berechtigung     Editier Bewilligung für MessageTree Der Message-Tree ist end-of-life (voraussichtlich Ende 2016) intern 150/180   standard_service_admin.fastpl StandardService_SM   http://www.id.ethz.ch/services/list/message_tree/index
15 iPass Account dienst='iPass'   Weltweit zum jeweiligen Lokaltarif ins ETH-Intranet Eng verwandt mit dem VPN-Service; Zielsystem ist ebenfalls der Radius Server. Nur sehr wenige aktive Benutzer. intern 30/60   ipass_admin.fastpl Service::VPN Service::VPN http://www.id.ethz.ch/services/list/ipass
16 Mitarbeiter-IDES Account     Software Download und Bestellsystem für Mitarbeiter der ETHZ der IDES-Service ist end-of-life (Juli 2017). Es werden keine neuen Kontos erzeugt. Authentisierung und Autorisierung des neuen IT-Shops erfolgt über das Active Directory proprietäre Kommunikation über Port 2345 30/60   standard_service_admin.fastpl StandardService_SM IDES_empl http://ides.ethz.ch
17 Studenten-IDES Account     Software Download und Bestellsystem für Studenten der ETHZ der IDES-Service ist end-of-life (Juli 2017). Es werden keine neuen Kontos erzeugt. proprietäre Kommunikation über Port 2345 30/60   standard_service_admin.fastpl StandardService_SM IDES_stud http://ides.ethz.ch
19 ISL Rolle     Informatik-Supportleiter. Informatik-Supportleiter (ISL) definieren Netzwerk-Supportgruppen im Netsup-Tool. Dieser Service führt zu entsprechenden Berechtigungen im Tool. intern 30/60   standard_service_admin.fastpl StandardService_SM ISL Netsup-Tool
23 Netsupport Rolle   Mailbox Netzwerk-Support Gruppe Alle Mitglieder einer Netsupport-Gruppe bekommen automatisch diesen Service zugewiesen. Die automatisiert erstellten @netsup - Mailverteiler werden aktualisiert. intern 30/60   standard_service_admin.fastpl StandardService_SM ISG Netsup-Tool
24 Mitarbeiter-Listen Berechtigung     Mailverteiler für Studierende und Mitarbeitende erzeugen Analog zum Studentenlisten-Service. Berechtigt x-Beliebige User zur Benutzung des Mitarbeiter-Listen-Tools. intern 30/60 ma_lists.fastpl standard_service_admin.fastpl StandardService_SM    
27 Alarm Rolle     Benutzung des Alarmierungs-Tools Das Alarm-Tool ist end-of-life (1. Quartal 2017). intern 30/60   standard_service_admin.fastpl StandardService_SM   http://alarm.ethz.ch
29 Netbackup Rolle     Root-Zugriff auf die NetBackup-Applikation obsolet. Die Applikation gibt es nicht mehr.   30/60   standard_service_admin.fastpl Netbackup_SM   https://idn.ethz.ch/cgi-bin/netbackup/main.cgi Informatikdienste
30 Open Directory Account     Mac Password Server Vormals: Mac-Service. Das Departement Architektur pflegt (für D-ARCH und D-BAUG und andere User) einen eigenen Directory-Server. Über SSH werden Kontos erstellt und gelöscht. ssh, LDAP 150/180   standard_service_admin.fastpl StandardService_SM Mac   D-ARCH
34 AIX Berechtigung     IBM-RS/600 SP für SAS und SPSS uralt-Service, welcher zu 99% obsolet ist. intern 30/60   standard_service_admin.fastpl StandardService_SM    
35 SGI Berechtigung     SGI Origin 2000 (zisgi) für Biocomputing und Molecular-Modelling uralt-Service, welcher zu 99% obsolet ist. intern 30/60   standard_service_admin.fastpl StandardService_SM    
37 Meteo Berechtigung, Benachrichtigung     HP Alpha Server für den Bezug von Daten der SMA uralt-Service, welcher zu 99% obsolet ist. intern 60/90   standard_service_admin.fastpl StandardService_SM    
40 Prepay Account     "nethz Prepay - Guthaben für kostenpflichtige Services wie ETH Print Service oder RapLab Einzahlungen per Kreditkarte erfolgen über die Saferpay-Schnittstelle. Bei einer erfolgreichen Einzahlung wird der Betrag auf das Interne Konto CREDIT_UNAME_ACCOUNT geschrieben. Die Tabelle CREDIT_TRANSACTION enthält alle Transaktionen. Für die Betrags-Abbuchung via nethz Prepay wird ein Webservice angeboten. intern, Saferpay.jar, http 150/180 credit.fastpl credit_admin.fastpl Credit_SM Service::Prepaid   VPP
41 System Berechtigung     System-Service für Maschinen obsolet. War als Maschinen-Service gedacht (Maschinen punkto Lifecycle gleich behandeln wie User). Wurde im Netsupport-Tool verwendet. intern 30/60   standard_service_admin.fastpl StandardService_SM    
43 Bibliothek Attribute eduPersonEntitlement=urn:mace:dir:entitlement:common-lib-terms nethz Standard Bibliotheks-Lizenz Schreibt beim LDAPS-Konto (nethz Service) den Wert eduPersonEntitlement=urn:mace:dir:entitlement:common-lib-terms. Unklar, ob dieser Eintrag überhaupt Verwendung findet (und wenn ja: wo). LDAP 30/60   standard_service_admin.fastpl Service::Bibliothek StandardValidation  
44 IVT Auth Account     OpenDirectory Dienst des Instituts für Verkehrsplanung und Transportsysteme (D-BAUG) verbesserte Version des Mac-Services, wurde aber nie im grossen Stil verwendet. Wahrscheinlich mittlerweile obsolet. ssh 150/180   standard_service_admin.fastpl StandardService_SM Mac2   D-BAUG
47 NETip Berechtigung     Benutzungsberechtigung für das NETip-Tool der KOM höchstwahrscheinlich obsolet. (abklären!). Bestandteil des Netsupport-Tools, wo einzelnen Netsupport-Mitgliedern der IP-Tool Service zugeteilt werden kann. intern 30/30   standard_service_admin.fastpl StandardService_SM StandardValidation http://velsheda.ethz.ch:7777/forms/frmservlet?config=netip
48 Mobile Berechtigung     Verrechnungs-Service für ETH-Handys Wird von der CMN-Applikation (aka Corporate Mobile Network) verwendet. Dient dazu, eine Mail an cmn@id.ethz.ch zu schreiben, sobald Leute die ETH verlassen haben und man ihnen das ETH-Abo kündigen muss http, smtp 30/60   mobile_admin.pl Mobile_SM   http://www.cmn.ethz.ch
49 Netsup-Root Berechtigung   Mailbox Root-Berechtigung für das Netsupport-Tool Sieht alle ISG-Gruppen und kann alles modifizieren. intern 150/180   standard_service_admin.fastpl StandardService_SM   http://isg-tool.ethz.ch
50 HestAuth Attribute, Berechtigung   nethz, Mailbox LDAPS-Attribute für das Departement D-HEST erweitert einen bestehenden Account um die objectClass=hestPosixAccount LDAP 150/180   agrlauth_admin.fastpl Service::AgrlAuth Service::AgrlAuth   D-HEST
51 InfkAuth Attribute   nethz LDAPS-Attribute für das Departement D-INFK erweitert einen bestehenden Account um die objectClass=infkPosixAccount LDAP 150/180   infkauth_admin.fastpl Service::InfkAuth Service::InfkAuth   D-INFK
52 ItetAuth Attribute   nethz LDAPS-Attribute für das Departement D-ITET erweitert einen bestehenden Account um die objectClass=itetPosixAccount LDAP 150/180   itetauth_admin.fastpl Service::ItetAuth Service::ItetAuth   D-ITET
53 MathAuth Attribute   nethz LDAPS-Attribute für das Departement D-MATH erweitert einen bestehenden Account um die objectClass=mathPosixAccount LDAP 150/180   mathauth_admin.fastpl Service::MathAuth Service::MathAuth   D-MATH
54 Massen-SMS Berechtigung     Berechtigung für die Massen-SMS Applikation obsolet. Die Applikation v.a. für die SMS-Alarmierung während der SOLA-Stafette verwendet. intern 30/30   standard_service_admin.fastpl StandardService_SM    
55 Phone Attribute, Benachrichtigung unifiedMessagingTask=create enhanced 20770 AD Telefon-Beantworter (Unified Messaging Service), Anschlussinformationen Schreibt Werte in das AD-Attribut unifiedMessagingTask sowie in die Tabelle UNAME_RUFNUMMER. Details siehe Service::Phone.pm LDAP, intern 30/60 phone.pl phone.pl Service::Phone Service::Phone http://www.id.ethz.ch/services/list/telefonie/index
56 BiolAuth Attribute   nethz LDAPS-Attribute für das Departement D-BIOL erweitert einen bestehenden Account um die objectClass=biolPosixAccount LDAP 150/180   biolauth_admin.fastpl Service::BiolAuth Service::BiolAuth   D-BIOL
57 MySQL Account     MySQL Datenbank - Konto mit 50MB Speicherplatz, mit wenigen Klicks eingerichtet Über den Webservice von Markus Egli werden MySQL Kontos verwaltet. http 150/180 mysql.fastpl mysql.fastpl StandardService_SM Service::MySQL https://www1.ethz.ch/id/services/list/db_hosting/
58 upc cablecom Rabatt Berechtigung     upc cablecom Angebot für die ETH Zürich obsolet. Es gibt keine Vergünstigungen mehr.   30/60   standard_service_admin.fastpl StandardService_SM   https://www1.ethz.ch/id/support/cablecom
60 Enterprise Administrator Account, Rolle   nethz, Mailbox Admin-Konto zur Enterprise-Administration Kombi-Service zur Erzeugung von sogenannten 4ea-Accounts; leider nie vollständig umgesetzt.   30/60   ea_admin.pl StandardService_SM Service::EnterpriseAdmin   ID Client Delivery
61 KOF Account     Zugriff auf Datenbank der Konjunkturforschungsstelle (KOF) Erzeugt Kontos und Synonyme auf der Oracle-Instanz des KOF oracle 30/60   kof.pl Service::KOF Service::KOF https://twiki.ethz.ch/bin/view/Nethz/KofDatenbank KOF
62 Tagesgast Account     Tagesgäste erstellen es wird ein User mit dem VPN Service angelegt mit der Gültigkeit von 6 Tagen. intern 30/30 guest_day.fastpl standard_service_admin.fastpl StandardService_SM StandardValidation  
63 polybox Attribute polyboxQuota=50 MB nethz Speicher-Dienstleistung der ETH im Stile von Dropbox schreibt das Attribut polyboxQuota=50 MB, welches von der Owncloud «polybox» als Quota verwendet wird. Gelöschte Kontos können (analog zum HomeDirectory Service) nach dem Entfernen des Services über einen Webservice asynchron festgestellt werden. Wird auch von der Empa benutzt. LDAP, http 150/180 polybox.pl polybox_admin.pl Service::PolyBox Service::PolyBox http://polybox.ethz.ch ID-NAS-Storage
64 Lync Attribute lyncTask=create Lync Service AD Kommunikations-Plattform von Microsoft Setzt im AD das Attribut lyncTask=create Lync Service, welches - analog zum Mailbox-Service - mit einem periodischem scheduled Task abgearbeitet wird. Das Resultat wird ebenfalls in dieses Attribut geschrieben. LDAP 120/150 lync.pl standard_service_admin.fastpl Service::Lync Service::Lync   ID-Mail
65 Physik-Mail Benachrichtigung     Meldung an die ISG, dass eine neue Person dem Departement D-PHYS zugeteilt wurde und eine E-Mail-Adresse einzurichten ist Dieser Service wird automatisch an alle neuen Phyisk-Angehörigen vergeben, damit nicht vergessen wird, ihnen eine Mailadresse zu erteilen. Die Physiker betreiben einen eigenen Mailserver und müssen in nethz den Forward eintragen. smtp 150/180   standard_service_admin.fastpl Service::PhysikMail StandardValidation   D-PHYS
66 HPC Berechtigung, Benachrichtigung     Meldung an User mit AGB's, dass ein Konto eingerichtet wurde. Meldung an User und HPC, dass Konto und Daten gelöscht werden Analog aufgebaut wie Homedirectory und PolyBox Service. intern, http 150/180   standard_service_admin.fastpl Service::HPC Service::HPC   ID SIS
70 PrintService Account   AD Drucken mit PaperCut. Gedacht als pragmatischer Beitrag zur Lösung der verschiedenen Spezialfälle (Gäste, Technische Accounts etc.) in «PaperCut». Leider wurde eine bürokratische Lösung vorgezogen. Obsolet.   30/60     standard_service_admin.fastpl StandardService_SM StandardValidation  
71 AD UserPrivateGroup Attribute   AD User Private Group im Active Directory. Erstellt eine Gruppe username-group im AD (analog zum Pendant im LDAPS) mit identischer gidNumber. Ändert die primaryGroup des AD-Users.   intern, LDAP 150/180   standard_service_admin.fastpl StandardService_SM Service::ADUserPrivateGroup  
72 Biol OU Attribut, Berechtigung Verschiebung nach OU=users,OU=BIOL,OU=Hosting,DC=d,DC=ethz,DC=ch AD Verschieben von User in die OU des D-BIOL Das Erteilen dieses Services bewirkt eine Verschiebung nach ou=users,ou=BIOL,OU=Hosting. In der neuen OU werden automatisch die entsprechenden Group-Policies angewendet. Beim Entziehen wird der User in die Standard-OU zurückgeschoben. ssh 60/90   standard_service_admin.fastpl Service::BiolOU Service::BiolOU   D-BIOL
73 HomeDirectory Attribute   AD Zentraler Speicherort für die persönlichen Homedirectory Daten Schreibt einen Eintrag in die Service Attributes Tabelle, wie hier beschrieben. Ein Skript von Willi Engeli holt die entsprechenden Aufträge via Webservice ab und erstellt die Homedirectories asynchron. Das Löschen erfolgt ebenfalls asynchron. Die Einträge in der Service Attributes Tabelle bleiben auch nach dem Löschen eines Users bestehen.   150/180 homedirectory.pl homedirectory.pl Service::HomeDirectory Service::HomeDirectory   ID-NAS-Storage
74 SMS Attribute eduPersonEntitlement=urn:mace:ethz.ch:sms-gateway nethz SMS Gateway. Für das Versenden von SMS direkt via Provider (z.B. für den Passwort-Reset, 2-Faktor Authentisierung etc.) Schreibt beim LDAPS-Konto (nethz Service) den Wert eduPersonEntitlement=urn:mace:ethz.ch:sms-gateway   30/30 standard_service_admin.fastpl standard_service_admin.fastpl   Service::SMS  
75 Moodle Attribute swissEduPersonUniqueID, mail, eduPersonAffiliation, swissEduPersonHomeOrganization, swissEduPersonHomeOrganizationType nethz für das LET zur Erstellung funktionaler Moodle Accounts, welche v.a. eine swissEduPersonUniqueID benötigen. Diese wird mit einem Zufallsgenerator erstellt: 12345678@let.ethz.ch LDAP   30/30 standard_service_admin.fastpl standard_service_admin.fastpl   Service::Moodle LET (Admingruppe NET)
89 LDAPS Proxy Account     Proxy-User für den LDAPS (AAI). Proxy-User können mehr «sehen» als normale User und sind für die Authentifizierung eigenständiger Websites unerlässlich. erstellt/löscht einen Account erweiterten Berechtigungen. Der Account erhät das Suffix _proxy und wird in ou=admins,ou=nethz,ou=id,ou=auth,o=ethz,c=ch eingerichtet. LDAP 60/90   proxyuser_admin.pl Service::AuthProxy Service::AuthProxy   Informatikdienste
90 Administrator Rolle     Passworte setzen und Zugriff zu Services erteilen. Administrator-Privilegien erteilen. Einträge in die Tabellen AGROUP, ADMIN_PERMISSION, ADMIN_OU, ADMIN_DOMAIN, ADMIN_SERVICE, NGROUP_RESPONSIBLE. Der Service wird automatisch vergeben, wenn man innerhalb der Administrator-Applikation einen neuen Administrator ernennt. Leiter einer Admingruppe nennt man «Bosse»; sie haben das «admin_service» Privileg auf dem Administrator-Service. intern 150/180 admin_tasks.fastpl admin_tasks_admin.fastpl Admin_SM    
91 Root Rolle     Admin- und User-Gruppen defineren. Root Privilegien erteilen   intern 30/30 root_tasks.fastpl standard_service_admin.fastpl StandardService_SM    

Comments

Werden bei den Services 50-53 nur die zusätzlichen Objektklassen zugewiesen oder noch andere Aktionen ausgeführt?

-- Kupresak Davor - 2016-11-30

Es werden noch weitere Attribute geschrieben. Im Detail muss man die entsprechenden Module konsultieren.

-- Vermeul Swen - 2016-11-30

Topic revision: r10 - 2017-08-11 - SwenVermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback